Безопасность извне (настройка правила firewall filter)

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Arcanius
Сообщения: 2
Зарегистрирован: 14 сен 2018, 21:19

Здравствуйте. Я не буду описывать то, что требуется выше ("Как правильно оформить вопрос"), потому что эта информция не относится к моему вопросу.
Я хотел бы попросить подтвердить мой вывод о том, что при отсутствии необходимости подключения извне к роутеру микротик (у меня hap lite) или устройствам в созданной локальной сети, установка фильтрующего правила для цепочки input на drop new и invalid (оставляю related и established) дает полную гарантирую невозможности взлома извне. Я правильно понял или нет? Если нет, пожалуйста, укажите хотя бы кратко, что я упускаю.
Заранее благодарен за ответ.


SergeyZ
Сообщения: 111
Зарегистрирован: 10 сен 2018, 09:07
Откуда: Санкт-Петербург

Если речь о взломе роутера, то..

при выше перечисленном..
при отсутствии правил dst-nat для управляющих портов..
при отключенном vpn-сервере (который теоретически можно было бы забрутфорсить)..

..действительно роутер не взломать извне.


Arcanius
Сообщения: 2
Зарегистрирован: 14 сен 2018, 21:19

SergeyZ писал(а): 14 сен 2018, 22:57 Если речь о взломе роутера, то..

при выше перечисленном..
при отсутствии правил dst-nat для управляющих портов..
при отключенном vpn-сервере (который теоретически можно было бы забрутфорсить)..

..действительно роутер не взломать извне.
Спасибо за ответ.
Правил для dns-nat нет. Только маскарадинг для интерфейса наружу.
Впн сервера тоже нет. Только клиент.
Прошу прощения за нубский вопрос. Первый раз настраиваю микротик и с сетями раньше дела не имел. Начитался/насмотрелся сейчас разного и решил уточнить, правильно ли я понял материал. Конфигурация для дома.


Ответить